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BESCflTRFTRT INd 



Verfahren zur Ko-s^Won iryptographisch geeigneter hypereffiptiacher Kurven 
Der cohere Immmationsaustauach ttber affenfliche ^ ^ 

5 Naota K h te nu n dDok U me M e m de in Auaen« flka a onve ^ £teSellderimd 
Empfanger. 

Einbesond^M^ganzu^^v^^,^.^^^^ 

,0 f * S08a,!n,,,te " aSymmetfsdle " Vercehmasemng, die a^h a.s -pubUc 

ke/ Verfehren bekannt ist Diese Verfahren erlauben dem Empfanger einer Nachricht, 
dem Sender einen Sclutee! uber daa 6ffemUehe Ne«z, d.h. imPrmzipjedemDrmen 
zugSngiieh, zu Obermmeln. Dieser SclWssel ^ ^ 

key-.DerSenderveraemteeltdanndieNaehriemmitmesemSeUusaelDie 1 
^^^.derpubne-keyVer^beatehtdar^ 
15 vessel* Naehrieh, nieht mi, Kenmnia dea afientnehen SehJuasefe aEein wieder 
^hluasettwerdenkann. Nur der Erzeuger des Sfienmehen SeUflaaeb, dh der 
Empfanger, learn, die mft aeinem oflenfliehen Schlflaael versehlusaelte Naehrieh, 
eniaenlusseln. Dieae asymmetrisehe VenKmJussemng exianert in einer Reihe von 

Eine Unterg^ppe der pnbiic-key Verfahmn beinhahe, ^ ^ fc 

en MS enrg ro BennatMcbenoderganzenZanl TO K M oemerwei^g roIiOT 
natOrhehen ZaM, dem offenfliehen SehJOasel Die Sicherhei. dieaer Gxuppe von 
25 Verfahren basier, auf der prakdsehen Unmaghchkei,, diskre* Logarimmen zu 
bemehnen, m„ so den geheimen Exponent™ zu ematen. Beispieie der auf dem 
diskreten Logarithmusproblem 



30 



Aumend^onsverfi^^ 

^VerseNusselu.gundDSS Signature ' 
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Die Auswahl der dem diskreten Logarithmus zugrundeliegenden endlichen Abelschen 
Gruppe kann auf verschiedene Weise geschehen. Eine mogliche Wahl ist die Gruppe 
der F q -rationalen Elemente der Divisorklassengruppe vom Grad Null (0) einer hyper- 
elliptischen Kurve, die uber einem endlichen Korper F q definiert ist Fiir diese Gruppe, 
5 die auch F q -rationale Punktegruppe der Jacobische Varietat der hyperelliptischen Kurve 
bezeichnet wird, existiert eine kompakte Darstellung der Gruppenelemente und ein 
effizienter Additionsalgorithmus. Weitere Einzelheiten zur Darstellung und Anwendung 
dieser Gruppe werden beispielsweise in N. Koblitz, „Algebraic Aspects of 
Cryptology", Springer- Verlag, 1998, erortert. 

10 

Ein Problem bei dieser Wahl ist jedoch die Bestimmung einer geeigneten hyper- 
elliptischen Kurve. Urn die praktische Unlosbarkeit des diskreten Logarithmusproblems 
zu gewahrleisten, sollte die Divisorklassengruppe dieser Kurve einen sehr grofien 
Primfaktor enthalten, da die Laufeeit von Algorithmen zur Losung des Logarithmus- 
1 5 problems von der Wurzel dieses Primfaktors abhangt Wird die Leistung heutiger 

Rechenanlagen zugrundegelegt, sollte der Primfaktor mindestens 2 160 Bit lang sein. Urn 
die Effizienz des Systems zu gewahrleisten, sollten jedoch die Parameter des Systems, 
wie zum Beispiel die Schliissel, nicht zu groJJ werden. 

20 Hyperelliptische Kurven, die diese Bedingungen erfiillen, sind Kurven, deren 

Divisorklassengruppe vom Grad Null eine prime oder fast prime Gruppenordnung 
auftveist. Um solche Kurven zu bestimmen, ist es im Prinzip moglich, die KoefiSzienten 
der Kurve beliebig aus dem endlichen Korper F p auszuwahlen. Falls die resultierende 
Kurve nicht-singular ist, kann dann die Zahl der Elemente der Divisorklassengruppe 

25 vom Grad Null bestimmt werden. Bisher ist jedoch ist noch kein Algorithmus gefunden 
worden, der diese Zahl, d.h. die Ordnung der Divisorklassengruppe, fiir eine zufallig 
bestimmte hyperelliptische Kurve uber einem Korper mit groBer Chaxakteristik ( p > 
2 80 fur Kurven vom Geschlecht 2) ermittelt Da zudem nur ein Bruchteil der 
hyperelliptischen Kurven eine Divisorklassengruppe mit primer oder fast primer 

30 Ordnung besitzt, bliebe selbst bei Existenz eines solchen Algorithmus das Problem 
bestehen, viele Kurven testen zu miissen, bevor eine im oben definierten Sinne sichere 
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Kurve bestirnrnt werden kann. Diese Tests gingen zu Lasten der Geschwindigkeit des 
Auswahlverfahrens. 

Es ist wird daher als eine Aufgabe der Erfindung gesehen, ein Verfthren znr schneUen 
BestanmungsichererhypereBiptischer Kurven zu beschreiben. 

Diese Aufgabe wird im Sinne der vorliegenden Erfindung dadurch geiost, das, 
geeignete hypemlliptische Kurven unter Verwendung der Mefhode der komplexen 
Muluplttation konslruiert weraen. Das erfinderische Verfthren erzeugt fflr 



i geeignete hyperelHptische Kurven vom Geschlecht 2 
Ober endlichen KSrpem mit groBer Charakterisuk. 



Eine hyperellipfische Kurve vom Geschlecht g (iber einem Korper F, (oder F„) der 
^ ^ Charakteristik ungleich 2 kann definier, werden aft eine nicht-singulare Kurve der Form 

y 2 =«X>. 

wobei t(x) ein normiertes Polynom vom Grade 2g+l 1st 

20 Die komplexe Mmtiplikadonsmeftode, im folgenden als CM-Meftode bezeichnet, is, 
als solche bekann. und wurde zj. von Atkin zur Konstruktion von ellipdschen Kurven 
benuftt Fur Einzelheiten dieser bekannfcn Anwendung der CM-Theorie sei vetwiesen 
auf A.O.L. Atkin, F. Moraiu, Elhptic curves and primahty proving, Math. Comp 
61:29-68, 1993. Die bekannte CM-Methode erlaubt es, zu einer gegebenen imaging 
25 quadradschenOrdnungO und einer Frimzahl peine uber F p definier* eUiptische Kurve 
E zu bestimmen, deren Endomomhismeming zu O isomorph ist. Die KomplexM, und 
damit derRechenauftvandder CM-Meftode wird dabei von derKlassenzahl h(Q) und 
der Drskriminante der Omnung O besummt. Die Anwendung der CM-Meftode wmde 
m den Disserftdonen von A.-M. Spallek PEM, 1994, preprint no. 18] und der 
30 ErfinderinA Weng [EM, 2002, preprint no. !,) auf die Konsmdmon hypereffiptiache 
Kurven mi, Geschlecht 2 und Klassenzahl I (Spallek) bzw. aufhyperelliptische Kurven 
m,,Geschlecht2 undbis zu Haasenzabi !0, sowie SpeziaHaUe von hypereUiptischen 
Kurven vom Geschlecht 3 und hoherausgedehnt (Weng). 
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Insbesondere wird im erfindungsgemaBen Verfahren ein Reprasentantensystem aller 
Isomorphieklassen einfacher prinzipal polarisierter Abelscher Varietaten bestimmt Die 
Aufzahlung der Isomorphieklassen wird dabei vereinfacht, da nicht gepruft werden 
braucht, ob die Fundamentaleinheit eine relative Norm einer Einheit im CM-K6rper K 
ist. 

Ferner konnen die Periodenmatrizen in aquivalente Siegelreduzierte Matrizen trans- 
formiert und damit eine schnellere Konvergenz der Thetanullwerte erreicht werden. 

In einer weiteren bevorzugten Ausfiihrimgsform wird die hyperelliptische Kurve iiber 
dem Korper C der komplexen Zahlen aus sechs von zehn errechneten Thetanullwerten 
bestimmt 

Weiterhin wird gemass einer bevorzugten Variante des erfindungsgemaBen Verfehren 
eine Vielzahl, insbesondere mehr als hundert oder sogar mehr als tausend, von 
moglichen CM-K6rpern bestimmt und die zu den CM-K6rpern gehorenden 
Klassenpolynomen berechnet und als Datensatz vor der Anwendung des Verfahrens zur 
Bestimmung einer sicheren hyperelliptischen Kurve gespeichert. 

In einer Variante des erfindungsgemaBen Verfahrens wird die Auswahl von moglichen 
CM-K6rpern durch einen Test reduziert. Damit kaim sichergestellt werden, dass fur die 
Gruppenordnung eine exakte Primzahl erhalten werden kann. 

Bevorzugterweise wird im erfindungsgemaBen Verfehren die dem endlichen Korper F p 
zugrundeliegende Primzahl p so gewahlt, dass das Minimalpolynom des CM-K6rpers K 
iiber F p in vier unterschiedliche Linearfaktoren zeriallt 

In einer weiteren Variante ist der der Kurve zugrundeliegende endliche Korper F q nicht 
prim. 
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FIG. 1 beschreibt einen ersten Teilschritt gemass der Erfindung zur Bestimmung ernes 
CM-Korpers und der zugehorigen Klassenpolynome; 

FIG. 2 beschreibt einen zweiten Teilschritt gemass der Erfindung zur Bestimmung einer 
kryptographisch-geeigneten Kurve. 



1m folgenden werden Schritte des erfindungsgemaBen Verfehren im Detail beschrieben. 
Das Verfahren beinhaltet zwei Teilschritte. Der erste Teilschritt behandelt die 
10 Bestimmung eines CM-K6rpers K, einer geeigneten Primzahl p zur Definition des 
Korpers F p und einer geeigneten Gruppenordung n. 

Zunachst wird ein geeigneter CM-K6rper K bestimmt durch eine total imaginar 
quadratische Erweiterung eines total reellen Zahlkorpers Ko mit Klassenzahl h K0 = 1 . 
Ein solcher CM-K6rper kann beispielsweise durch die Menge K = Q(i( a + bd 1/2 ) m ) 
gegeben sein, wobei a, b und d ganze Zahlen sind. 



15 



20 



Die Primzahl p wird so gewahlt, dass die drei folgenden Bedingungen erffillt sind: 

1. Es existiert eine Zahl w aus Ok, so dass w=p ist, wobei Ok die maximale Qrdnung 
von K ist und w das komplex konjugierte Element von w. (Hier wie im folgenden 
kennzeichnet die Unterstreichung das komplex konjugierte Element der unterstrichenen 
GroBe.) 

25 2.Entwederist n t = n(l - Wj ) oder n 2 = n(l + Wi ) fest prim, wobei sich das Produkt n 
fiber alle Konjugierten w s von w in K erstreckt 

3. Eine der Ordnungenn i( i = l,2)ist von der Form kq , wobei k eine kleine Zahl ist undq 

einePrimzahlist, die Bedmgung die BedmgungerfuUt, dass die Ordnung von pm 
30 ist. 
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Die Auswahl von p kann dabei vereinfacht werden, indem eine beliebige Zahl i\ aus O k 
ausgewahlt wird und gepriift wird, ob das Produkt mit ihrem komplex konjugiertem 
Element eine Primzahl ist. Wenn dies der Fall ist, konnen ni oder n 2 gemass Bedingung 
2 gepriift werden. Die Auswahl der Zahl t| sollte dabei so erfolgen, dass sichergestellt 
wird, dass ihre relative Norm in der Menge Z der ganzen Zahlen liegt. 

Alternativ kann eine beliebige Primzahl p aus Z gewahlt werden und die Minimal- 
polynome in Z[x] von alien Losungen der absoluten NormgleichungNic/Q(w) =p 2 
bestimmt werden. Aus diesen Minimalpolynomen werden diejenigen gewahlt, die 
irreduzibel sind und Nullstellen mit dem Absolutwert p 1/2 haben. Diese 
Minimalpolynome werden dann an der Stelle x=l ausgewertet Daraus ergibt sich eine 
Menge S von moglichen Gruppenordnungen xa . Diese Menge hat hochstens vier 
verschiedene Elemente. Diese Werte ^ konnen dann auf die obigen Bedingungen 1 und 
2 getestet werden. 

Fur den folgenden zweiten Teilschritt kann angenommen werden, dass ein CM-K6rper 
K 5 eine Primzahl p und eine Gruppenordnung n bestimmt wurden, die die Bedingungen 
1-3 des ersten Teilschritts erfullen. In diesem zweiten Teilschritt wird eine 
hyperelliptische Kurve fiber F p konstruiert, die eine Divisorklassengruppe der Ordnung 
n auftveist. 

Dabei wird fiir hyperelliptische Kurven vom Geschlecht 2 ausgenutzt, dass die 
Jacobischen Varietaten dieser Kurven genau die prinzipal polarisierten Abelschen 
Varietaten der Dimension 2 sind. Weiter lasst sich nach bekannten Methoden ein 
Reprasentantensystem aller Isomorphieklassen einfacher prinzipal polarisierten 
Abelschen Varietaten fiber dem Korper C der komplexen Zahlen finden, die eine 
komplexe Multiplikation mit Or haben. Ebenso ist es im Prinzip bekannt, eine . 
Periodenmatrix SI dieser Varietaten aus der Menge Hk zu bestimmen, wobei H 2 = {M 
aus G1 2 (C), M* = M, mit Im M positiv definit} die Siegelsche obere Halbebene der 
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^^^^^^^^^^^ 

Als Beispiel sei 

5 

Ko = Q(6 m ) mit Ok 0 = Z + © Z , © = 6 V2 
K = Q(i(3+6^) 1/2 ) 
10 p = 13970339430705346738100941 und 

n=195170383809059575030928920714011851354971964238376 
15 positive Norm. Dann wird ein Rear**^^^ _ TJ „. W)eme 



20 



Ik = {A i = Qj^= Qjy, + ^ , A 2 = (1 - s m ) + (-1 + r\) Okq}. 
Aus der allgemeinen Darstellung von A, und A 2 
A = a Oko + p Oko 
25 wird 

xi = a / P berechnet, wobei mit dem oben genannten Beispiel gilt: 
Ti =0.4283729905961 32201 li 

30 
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x 2 = 0.2247448713915890490 + 0.5246476232752903 178i 

Eine Einbettung a von K in den Korper der komplexen Zahlen C ist gegeben durch 
5 a (i (3 + 2 m ) V2 ) = - i (3 - 2 m ) m und 

p als dem dazu komplex konjugierten Element. Ein Reprasentantensystem aller 
Isomorphiekiassen einfacher prinzipal polarisierten Abelschen Varietaten, die eine 
Multiplikation mit Ok haben, ist dann gegeben durch die Menge der Tupel 

10 

{ (ri/ci* ) , (so xi^so tif ), fa/H^ ), (eo *Uso xi) p<T ) }. 
Die zugehorige Periodenmatrix fur ein Tupel (si,S2) lautet 



1 

15 Q s l,s2 



v coSi-<o a S2 S1-S2 ) 



Mit dem folgenden Schema werden die Isomorphiekiassen abgezahlt, wobei gelten soil, 
dass der Korper K = Q(i(a + bd in ) m ) ein CM Korper, g 0 die Fundamentaleinheit, a die 
Konjugation 

20 

a (i (a + bd m ) m ) - - i (a - bd m ) m 

und pdie komplexe Konjugation ist Fur einen Reprasentanten A { = a { Oko + Pi Oko 

ergibt %\ = a t / pi mit Im(xi ) > 0. Mit {xi, , x k .... , x hk }, k<= h als Klassengruppe gilt: 

25 Im T| a > 0 fur i <= k und Im x\ < 0 fur i > k. Die folgenden Regeln erlauben es, eine 
geeignete Menge S von Reprasentanten von einfachen prinzipal polarisierten Abelschen 
Varietaten mit komplexer Multiplikation mit O k zu bestimmen: 



Wenn K Galois, dann S := { (x h ), K=i<=h }. 
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Wenn K nicht-normal ist imd wenn N(s 0 ) = 1 dann k := h/2 • 

S:=Kx„xO,(^. (so,r),K=i<= k}U{(T|>Tr)>(eoTf> ( ^ r)>k+1<=i<=2k}und 
5 wenn K nicht-nonnal ist, aber N(s 0 ) = -1 dann lasst sich definieren: 
s := { (t», xT ),(s 0 ir,, (8 0 T,) ptT ), 1<=i<=h } . 

I^jededorobenbestinimtenPericKteninatrix Amiti= 1, .... 4 wentea dana die 

2 ^'^S^IWuUwer te electee, uadnAHilfeto^ 
^^K^ttberCb^sd^derenJacobiV^^ 

enttpricht Au S dea absolute lavariamea werfea die Klasseapolynome derKurve 
beiechaet. 

15 

Die geradea Tieta*,^ einer Periodeanteix Q, sind gegeben durch 

6 W Q,) %au;^ i((n + 1/28),n|(n + 1/2S > +2 ( n+1 '2«X 2+ 1/2s)'», 
20 mita.a ansderMenge{0,l}«, S'e = 0mod2. 

For Kurven de S Gescblecb* 2 ergeben s icb aus dieser FuaMoa geaau zeha gerade 
TbefcauUwene. Die Gttte der NShe^g s „n te «, ^aj, wer<to> ^ ^ 

25 tZTT 0 "** to bereCh,,etan "—V*— — *. - in 

25 Z[l/n][X] mt eaner gtotea Zabl „ Hegea to besctaiebeaen Beimel rei cben 70 
Dezunalstellen aus. 

Die Koavergeaz der Gleicbuag auf die Tbetanullwerte 1Ss s, aicb vart^em, ^ aa 
30 werdea.EiaeMateQ-X.iYausffi adtX^uadfcdfeesy - {1 2} £ 
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Siegel-reduziert, wenn gilt 
1. 1/2 <= xu <= -1/2 
5 2. Y is Minkowski reduziert 

3. J det (CZ + D)j >= 1 fur alle 



<0 D, 



Sp(4,Z) 



Mit Hilfe der Thetanullwerte lasst sich ein Modell der gesuchten Kurve uber C 
1 0 bestimmen. Ein solches Modell ist das Rosenhain Modell 

y 2 = x(x-l)n(x-X i ), 

wobei der Index i von 1 bis 2g-l lauft, also fur Rurven vom Geschlecht 2 bis 3. Das 
15 Rosenhain Modell erlaubt es, aus den Thetanullwerten die Werte \\ zu berechnen . Tm 
vorliegenden Beispiel sind 

Xi = 3.7761476679542305243215 + 1. 0919141 042403378864850i 
20 X 2 = 2ki 

Xs = - 0.5826628324044744213034 

Aus den 10 geraden Nullwerten ergeben sich auch die sogenannten absoluten Igusa 
25 Invarianten j i , j 2 , ja als bekannte Funktionen. 

Sowohl die Xi des Rosenhainmodells als auch die Igusa-Lovarianten lassen sich jedoch 
aus lediglich sechs Thetanullwerten bestimmen: 
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04 = 6 f<°°> 



S3 — ca«p 



5 

Die A,, desModells 

f(x) = x(x-1)(x-X 3 )(x-A, 3 )(x-X 5 )smdgegebendurch: 
10 X 3 =-a 1 2 a 2 2 (a 3 2 a 4 2 )- 1 

A-3 = - a 5 2 a 2 2 (a 3 2 a 6 2 ) -1 
A* = - asV (a 4 2 a 6 2 ) -1 

15 

und die (mcht-absoluten) Igusa-lhvarianten werten beschrieben durch 

h = - 120A' , U = - 720 (A*) 2 + 6750 B' , 
h = 8640(A') 3 - 108000A'B' + 202500C'.. 

20 

mit 

A' - (f, f) 6 , B' = (i, i) 4 ., c- = (i, A) 6 und 
i = (f,f)4 , A = (i,if) 2 

25 

wobei die Notation (^X die OberscMebung zweier Bi.arfonnen g und h vo m Grad , 
und m der Form 



(3 h )..- (m ~ k)t(n ~ k)i f5g__J|l__5g5hf 
m!n! (sx 8z 8z5xJ 
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darstellt. Aus den Igusa-Invarianten ergeben sich dann die absoluten Jhvarianten: 

ji = l 2 l4 2 /A f j 2 =l 2 3 I 4 /AJ 3 =I 4 l 6 /A. 

5 Die Berechnung der Igusa-Invarianten lasst sich weiter beschleunigen durch eine 
Sortierung der Klassengruppe Ik der Idealklassen nach Paaxen von Idealklassen und 
deren Ihversen. Da im Korper Ko mit KJassenzahl 1 gilt, dass die inversen Idealklassen 
gleich den komplex konjugierten Idealklassen ist, braucht fur jedes gefundene Paar von 
komplex konjugierten Idealklassen nur eine einfache prinzipal polarisierten Abelschen 
1 0 Varietat berechnet werden: 

Wenn (ti , xi v ) die zu dem Ideal Ai und CM-Typ (K,y) gehorende prinzipal 
polarisierten Abelschen Varietat ist, dann reprasentiert (-51 , diezu A^gehorende 
prinzipal polarisierten Abelschen Varietat des gleichen CM-Typs. Wenn weiter ji die 
15 Igusa-Invariante von (x\, ti v ) ist, dann ist die entsprechende Igusa-Invariante von (-ti, - 
3 y ) gleich j|. Also braucht fur jedes Inversenpaar von komplex konjugierten 
Idealklassen lediglich eine Igusa-Invariante bestimmt zu werden. Der Rechenaufwand 
fiir diesen Schritt halbiert sich folglich nahezu. 

20 Die Klassenpolynome H k lassen sich darstellen als Funktionen der Igusa-Invarianten jk, 

k l,«a*,3« 

H k (X) := n (X-j k (i) ) mit i = 1 4 

25 Die Polynome liegen im Korper der rationalen Polynome Q[x]. Durch Anwendung des 
Kettenbrachverfahrens und anschliefiender Multiplikation lasst sich H k (X) in ein 
ganzzahliges Polynom Hk(X) # umwandeln. Im Beispiel erhalt man fur 

H 1 (X) = n(X-j 1 (0 ) 
30 = -46989351758.431801106481797 X 3 

- 45970146813147129.294447100607881 X 2 
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5 



10 



+ 10924459381549069304009.28898299296496140 X 

+ 62662202899453662501 195273.54688887371081210299. 

FaUs die Genauigkeit hinreichend hoch gewahlt wurde, wirdmitdem 
Kettenbruchalgorithmus das Meinste gemeinsame Vielfache der Nenner der 
Koeffizienten gefunden. fin vorliegenden Beispiel ist dies 1 1\ Daraus ergibt sich das 
ganzzahlige Polynom: 

H,(X)« = 14641 X> - 687971099095200 X 3 - 673048919491287175^^ 
- 159945009805259923680000000 X 



917437312650901072680000000000. 



D,e Klasaenpolynome der Form Hk (X) fiber Q[x] und der Fonn Htfx/ fiberdem 
Kdrper der ganzzahligen Polynome Z[x] hangen nur von der Wahl des CM-Kdrpers K 
15 ab. Der zugrundeUegende Primzahlkomer F p fflr die hvperellipnsene Kurve kann jedoeh 

auehnaehFe^egungde.CM-KorpersKnoehvarUeren.ais.dahervorteilhaft 
ga^gnete CM-Korper und die dazugehorigen Klassenpolyaome in grosser Zahl ' 
prakuscherweise hundene Oder lauseude, to voraus zu bereobnen und in geeigneier 
We,se zu speichern. fc, naoh diesem Sohrit. die Erzeugung einer bvpereffipuschen 
Kurve fflr die Anwendung einer Ver^bJOssetang erforderlieh, kann anf einen zufillig 
ausgewahllen CM-Korper, bezieb.nrgaweise z^g ansgewaMe Klassenpolyao-ne L 
der abgeapeioherten Datei zugegrfflen werden und nach den to ersten Teifechntt 
au^fubr.enKri.erienenregeeignetePrnnzabJpundarap^ 
werden. Danaeh konnen direkt die folgenden Schrifle zur Besttomung der 
25 h^pereniptischen Kurve Ober F t durchgefflhr, werden, oine die Klassenpoivnome neu 
zubestimmen. 

Fernerkan.es fflr die ^"ementierung etoes krvp W seben Pro to ko Us vor^aft 
sem, sich auf (Sruppenordnungen zu beschranken, die exakt prim rind. 

Dazu WW vorgescbiagen, die Auswahl des CM-Korper zu bescbranken und nur sdche 
CM-Korper K zu verwenden, fflr die das Mintoalpolynom K/Q modulo 2 zwei 
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verschiedene Faktoren hat oder irreduzible ist 

Ffir die folgenden Schritte zur Berechnung der hyperelliptischen Kurve fiber F p wird 
also davon ausgegangen, dass der CM-K6rper K festgelegt ist und die Klassenpolynome 
5 H k (X) # entweder den oben beschriebenen Schritten folgend berechnet wurden oder einer 
vorausberechneten Datei entnommen wurden. 

Als nachster Schritt wird die Kurve berechnet. Dazu werden fur jedes Tripel (ai, a 2 , a3> 
aus (F p ) 3 mit Hk(X) # (ak) = 0 mod p die folgenden Schritte durchlaufen: 

10 

Setze ji := ai , j 2 := a 2 J3 ~ a 3 . Berechne dann aus ji die Mestre Ihvaiianten Ay und Hy k . 
Nach dem bekannten Mestre Verfahren fiber endlichen Korpern, wie beispielsweise in 
J.-F. Mestre, Construction des courbes de genre 2 a partir de leurs modules", Progr. 
Math., Birkhauser, 94:313-334, 1991 beschrieben, sind die Mestre Invarianten 
1 5 Koeffizienten einer Quadrik der Form 

2 Ay Xj Xj 

und einer Kubik der Form 

20 

S Hijk xi X, x k wobei die Summation fiber die Indizes i, j, k von 1 bis 3 lauft 

Aus einer Parametrisierung der Quadrik durch Polynome fi(t), f 2 (t), f 3 (t) imd deren 
Einsetzung in die Kubik 

25 

SHijkf^fjCQfkCt) 
lasst sich ein Modell 
30 y^fft) 

der hyperelliptischen Kurve fiber F p erhalten. Durch projektive Transformation lasst 
sich der Grad des Polynoms f(t) (im AUgemeinen 6) dann inn 1 auf 5 verringern, wenn 
f(t) eine Nullstelle in F p besitzt. Danach prfife durch zufallige Wahl eines Divisors D 
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und un«er Bfldung des Produces nD, „ b die DivfaorHassengmppe ^ Klnve 



hat 



5 



15 



Die aus dem angeffihrten Beispiel reaulnerende Kurve lautet 

V 2 - X s + 44645056 1 5838997835224600 x< + 11942994H5339229240469614 x> H 
1 108584063993749350888007 x 2 

+ 1 1457344736666435422023499 x + 2901066642986978406675671 
10 imd fat fiber den K6rperF,definiertwobei 
p- 13970339430705346738100941 und 

n = 195170383809059575030928920714011851354971964238376 
gleich den oben erwahn.cn Werten fa,. Der Wer, fflx n das 1 52-feche einer Primzahl. 

Der Mestre-Algorithmus kann durch eine geeignete Wahl der Primzahl p beschleunigt 
werdenVomuaseteungdaftofatdaaste^^ 

Mengedergar^ZaUenZeineWrnzahlfat.dieaiehvo.fa^digtoKzerleg.o^ 
^^^-hteMmimalr^mvon^^ ' 
Lmearfiktoren zerlegen lasst Unter dieser Voraussefeung halbier, sich die Zahl der 
Lmeariatoren modulo p ffir jedes Klassenpolynom, sofern die obige Gleichung ww = p 
b« auf das Vorceichen und das konjugier, kompiexe Eiemen, nur eine Ufaung w ^ 

25 ^MengeOKbesto.DieseHamiemngderlinearMcmrenbeaemeumgtto 
Anwendung des Mestre-Algorithmua um das Achtfhche. 

Um diesen Vorteil auszunuteen, wird gepruft, ob eine hn obigen ersten TeUschrit, 
b ^*I>^pdasM m hnalrx> 1 ^ 

I^nearfahoren zeriegt Dies kann dureh direkte Berechnung gesehehen. Wenn p jedoeh 



20 



30 
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wie oben beschrieben, durch Auswertung an der Stelle x=l von Minimalpolynomen in 
Z[x] gewahlt wurde, die irreduzibel sind und die Nullstellen mit dem Absolutwert p (1/2) 
haben, sind die gefunden Primzahlen bereits vorsortiert. Danach lassen sich die 
Primzahlen auf solche beschranken, die lediglich zwei verschiedene Gruppenordnungen 
5 zulassen. 

Wenn der CM-K6rper zyklisch ist und der Exponent der IdealHassengruppe grofler als 
zwei ist, dann haben die in diesem Sinne vorteilhaften Primzahlen eine positive Dichte. 
Insbesondere gibt es unendliche viele dieser Primzahlen. 

10 

Das beschriebene Verfohren zur Erzeugung einer fiir kryptographische Anwendungen 
geeignete hyperelliptische Kurve kann auf nicht prime endliche Kdrper F q erweitert 
werden. Die Zahl q := p f ist dabei definiert als Potenz einer Primzahl p. Der Exponent f 
ist eine natiirliche Zahl und wird als Erweiterungsgrad bezeichnet Es kann ferner 
1 5 angenommen werden, dass die Kurve nicht fiber einem Unterkorper von F q definierbar 
ist. 

Fiir den Fall, dass der CM-K6rper K Galoissch ist, sollte p so gewahlt werden, dass 
20 p = AA inK/Ko . 

Wenn f minimal gewahlt wird mit der Bedingung, dass 
A f = (w) , mit w Element aus Ok 

25 

ein Hauptideal ist, dann existiert eine Wurzel der Klassenpolynome uber F q Aus diesen 
Wurzeln koimen wie oben angegeben mittels des Mestre-Algorithmus hyperelliptische 
Kurven uber F q konstruiert werden. Die Ordnung dieser Kurven ist gegeben durch 

30 n = EE (1 - Wi) oder n (1+ Wi) wobei der Index i = 1 v ..,4 und Wi das komplex 
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konjugierte Element von w ist. 



5 



Fur den Fall, dass der CM-Ko^er nieb, Galosh oder niebt-normal ist, S ollte die 
Wahl p so gewahj, wetden, dass das Primideal <p) in drei Heale zerfllit 



(P) = PlE2P2. 

Dann gibt es ein Ideal A, so dass 
10 A= PxP2 2 

ist und f wieder minimal gewahlt mit 
Af = (w) , mit w Element aus O k . 



15 



Unterd^Bedn,^ ktaen wie o*en angeben .nine,, des Me^Algoritons 



20 



erne 



25 



30 



^Bei S pie 1 ^dau Sg ehendvoneinemCM-Ko T er sKlnitderKlassengrad 
Kurve uber einem Kotper des Erwei temngsgra d f = 2 b* = 10 e^eugt Als Frimzanl 
dten p = 9,1 dessen Heal <p) tiber demKdmerK in drei Frimideale zerSllt Fur das 
HealA=p 1 p 2 gilt, dass f= 5 der kleinste Exponent is,. Daber ist A'Hauptideal. 

Die Elemente in F,, mit q= 911 10 lassen sich durcb Polyoma vom Grad 9 angeben Die 
modulo p nreduziblen Klassenpolynome sind 

H,(X) = 701X'° + 401X» + 322X 8 + 712X' + 125X« + 774X* + 513X* 
+ 869X 3 + 474X 2 + 49X + 680 mod p 
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H 2 (X) = 186X 10 + 895X 9 + 453X 8 + 86X 7 + 180X?+ 47X 5 + 81 IX 4 
+ 339X 3 + 887X 2 +296X+ 371 modp 

5 H 3 (X) = 75X 10 + 280X 9 +616X 8 +737X 7 +511X 6 + 179X 5 +623X 4 
+ 533X 3 + 616X 2 + 697X+ 700 mod p 

Es ergeben sich zwei mogliche Gtuppenordnungen 

10 m= 155012792308846128138632814006095268154658315370266774539376 

n 2 = 

155012792308846046374979954330693046736810307187589966188400 
1 5 Die zugehorige Kurve y 2 = f[x) lautet 

f(x) = x 5 +[9 703 722 261 507 119 164 322 684 741] x 4 
+ [715 508 396 153 661 164 513 167 892 156] x 3 
+ [548 810 311 54 483 636 130 899 845 101] x 2 
20 +[550 294 663 157 288 697 710 60 475 608] x 

+ [301 385 355 533 347 763 659 163 720 665], 

wobei die verkurzende Notation 

25 ao + aiz+ aa??+ a 3 z 3 +... + a 8 z 8 + a9Z 9 =[ao a x a 2 a 3 ... ag a?] 

verwendet wurde. 

Die Gxupp enordnung ist n 2 = 400r, wobei r eine Primzahl mit 57 Dezimalstellen ist. 
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PATENTATsTSPT? f Yrm? 



1. Verfahren zur Bestimmung einer kryptographisch-geeigneten hyperelliptische Kurve 
mit den Schritten: 

Auswahl eines CM-K6ipers K; 

Bestimmimg eines Reprasentantensystem aller Isomorphieklassen einfacher 
5 prinzipal polarisierten Abelschen Varietaten mit komplexer Mmtiplikation mit 

der maximalen Qrdnung in K; 

Bestimmung von zum Reprasentantensystem zugehorigen Periodenmatrizen; 
Bestimmung von Thetanullwerten; 

Bestimmung von Klassenpolynomen des CM-K6rpers fiber emem endlichen 
10 KdrperFq;; 

Bestimmung einer hyperelhptischen Kurve fiber dem endlichen Korper F q und> 
Festlegung der Gruppenordnung n der Divisorldassengruppe der 
hyperelliptischen Kurve. 

15 2. Das Verfahren nachAnspruch 1, wobei die hyperelliptische Kurve vom Geschlecht 2 
ist 



3. Das Verfahren nach Anspruch 1, wobei aus den Thetanullwerten Igusa-mvarianten 
bestunmt werden. 



20 



4. Das Verfahren nach Anspruch 3, wobei die Igusa-Invarianten verwendet werden, urn 
die Klassenpolynome zu bestimmt 
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5. Das Verfahren nach Anspruch 1, wobei aus den Thetanullwerten Mestre-Invarianten 
bestimmt werden. 

6. Das Verfahren nach Anspruch 5, wobei das Mestre- Verfahren zur Erzeugung der 
5 hyperelliptischen Kurve uber F q verwendet werden. 

7. Das Verfahren nach einem der vorhergehenden Anspruche, wobei eine Vielzahl von 
geeigneten CM-Kdrpern K und die zugehorigen Klassenpolynome in zugreifbarer Form 
gespeichert werden und zur Bestimmung der hyperelliptischen Kurve ein CM-K6rper 

1 0 aus der gespeicherten Vielzahl ausgewahlt wird. 

8. Das Verfahren nach einem der vorhergehenden Anspruche, wobei die Perioden- 
matrizen in Siegel-reduzierter Form verwendet werden. 

15 9. Das Verfahren nach einem der vorhergehenden Anspruche, wobei nur sechs 
Thetanullwerte bestimmt werden. 

10. Das Verfahren nach einem der vorhergehenden Anspruche, wobei zur Bestimmung 
des Reprasentantensystem nicht getestet wird, ob die Fundamentaleinheit des reellen 

20 Teilkorper des CM-K6rpers K die Norm einer Einheit des CM-K6rpers ist 

1 1 . Das Verfahren nach einem der vorhergehenden Anspruche, wobei zur Bestimmung 
des Reprasentantensystem eine Menge von Idealklassen bestimmt wird. 

25 12. Das Verfahren nach Anspruch 1 1 , wobei Paare von zueinander inversen 

Idealklassen identifiziert werden vmd fur jedes Paar Igusa-Varianten nur einmal aus den 
Thetanullwerten bestimmt werden. 



-21 - 



PHDE030014 EP-P 



13. VerfahxeB nach einem der vorhergehenden Anspriiche, wobei q eine Primzahl p ist. 

14. Verfahren nach Anspruch 13, wobei die Primzahl p so gewahlt wird, dass jedes 
Klassenpolynom hochstens h K Lmearfaktoren aufweist, wobei h K die Klassenzahl des 
CM-K6rpers K ist. 

15. Verfahren nach einem der vorhergehenden Anspriiche, wobei der CM-Korper so 
gewahlt wird, dass die Gruppenordnung n der Divisorklassengruppe der 
hyperelliptischen Kurve exakt prim wird. 

16. Verfahren nach einem der vorhergehenden Anspriiche, wobei q die Potenz einer 
Primzahl p ist. 

17. Kryptographisches Verfahren, wobei Schliissel zum Verschliisseln von Daten aus 
der Gruppe der F q -rationalen Zahlen einer hyperelliptischen Kurve bestimmt werden 
die nach Verfahren gemass einem der vorhergehenden Anspriiche erzeugt wurde 
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ZUSAMMENFASSUNG 

Verfahren zur Konstruktion kryptographisch geeigneter hyperelliptischer Kurven 

Um ein Verfahren zur schnellen Bestimmung sicherer hyperelliptischer Kurven zu 
schaffen, wird vorgesehen, dass geeignete hyperelliptische Kurven unter Verwendung 
5 der Methode der komplexen Multiplikation konstruiert werden. Das erfinderische 
Verfahren erzeugt fiir kryptographische Anwendungen geeignete hyperelliptische 
Kurven vom Geschlecht 2 uber endlichen Korpern mit groBer Charakteristik. 



10 
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Auswahl CM- Korpg r 



Bestimmung 
Reprasentantensystem 
und Periodenmatrizen 



Bestimmung 
Thetanullwerte 



Bestimmung 
Igusa-Invarianten 
und Klassenpolynomen 



Speicherung 
Klassenpolynome 
von CM-Korper 



Fig.l 
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Laden der Klassenpolynome 
aus Datei 



Auswahl Primzahl p 
Gruppenordnung n 



Faktorisierung der 
Klassenpolynome uber Fp 



Bestimmung 
Mestre - Invarianten 



\ 

A 



Bestimmung 
hyperelliptische Kurve 
tiber Fp 



Fig.2 
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